对实验室搭建复杂网络环境下的DHCP 服务及安全防护的思考

柯秋莉

摘要：为了实验室对复杂网络管理能力的提升，该文主要针对DHCP服务在复杂网络环境下的搭建与安全防护方法进行简单介绍。重点针对三层网络环境下建立Vlan，通过服务区将IP地址自动分配给每一个Vlan，并使不同Vlan间可相互访问。最后对DHCP安全防护方法进行简单介绍，目的在于提高实验室DHCP的管理水平。

关键词：实验室；复杂网络；Vlan；DHCP服务

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）11-0032-02

DHCP为动态主机分配协议，在UDP协议下进行使用，为局域网提供网络协议，主要用途是将IP地址自动分配给LAN内的主机，是实验室内部主机管理中管理员采取的主要管理措施，尤其在局域网环境下得到了广泛的应用。对试验室复杂网络进行管理时，采用DHCP服务进行管理非常重要，获取IP地址时，利用广播数据包，在一个广播域内实现DHCP服务。但是实际网络环境中，为了对广播包进行隔离，防止出现网络风暴，因此Vlan被广泛应用，这种情况下，DHCP服务的功能显示出来。而在真实实验室网络环境中，通常所用的DHCP服务都是跨网段进行的，因此针对某一网段的DHCP服务已经非常少。对于实验室管理人员来说，对DHCP服务配置与安全防护进行掌握，有利于实现对复杂网络环境的管理。本文主要通过H3C S3600三层交换机为例，分析HDCP服务器跨网构建的方法及相关防护措施进行研究。

1 DHCP服务工作原理

DHCP的工作方式为C/S，在获取IP地址时，DHCP客户端计算机通常采用三种方法：首次登陆网络、再次登陆网络及延长IP地址租用有效期。DHCP服务采用UDP协议，在获取TCP/IP协议时，DHCP客户端计算机通过四线回话获取：

1）发现阶段。通过计算法将DHCP报文广播向网络发送，同时在网络中对DHCP服务器进行搜索。

2）提供阶段。DHCP收到报文以后，选取一个未分配的IP地址分配给计算机，并将出租IP地址及其他配置报文发送到客户端计算机。

3）选择阶段。客户端对DHCP网络服务器进行IP地质选择，如果网络中存在多个DHCP服务器，同时发送给DHCP客户端多个IP地址，由于客户端计算机智能接收一个报文，并且只能接收第一个报文，然后通过广播将接收报文的信息发送到服务器，所发送信息包含选择的IP地址。

4）确认阶段。客户端返回的报文被服务器收到后，向客户端发送IP地址及其他配置的确认报文，客户端收到报文后将TCI/IP协议和网卡绑定在一起。

对于客户端计算机状态而言，根据不同的功能分为六种状态，即初始化、选择、请求、绑定、更新及重新绑定六种状态。可以对客户端IP地址实现续租，如果初始租期达到一半的时候，客户端会给DHCP服务器发出请求续租的广播，HDCP服务器如果没有对广播进行回应，客户端系统会将请求广播重复进行发送，直到第三次发送仍未给予回应为止。租期达到87.5%的时候，需要重新绑定客户端计算机，此时客户机向网络中所有DHCP服务器发送REUQEST消息，请求续租IP地址，HDCP服务器要是还没有回应，则IP地址停用，根据四线回话规则，对IP地址重新申请获取。

2 构建实验室三层网络环境下DHCP服务

2.1 实验设备

实验所需要设备如表1所示：

2.2 实验网络拓扑，图1

2.3 实验要求

对于一个实验室来说，其内部网络往往不是单一，而是同时存在多个计算机网络，本文所介绍实验室中，包含有四个网络：四个网络之间的通信通过三层交换机完成，通过Windows 2008 Server对DHCP服务及安全防护进行相关设置，达到不同网络环境下，计算机在开机以后，可以获得HDCP服务器分配的不同网络下的IP地址，各Vlan计算机之间也能相互连通。

2.4 实验步骤

2.4.1 三层交换机配置

1）准备工作。先登录交换机。首先，建立配置环境，利用交换机配置的电缆将终端串口和以太网交换机接口连接起来，如图2。其次，在计算机上运行终端防震程序，设置和交换机连接的串口终端通信参数，这些参数中，包括8位数据位和1位停止位，传输速率为9600bit/s，无流控、无校验。第三，将三层交换机通电启动，终端显示屏内显示出自检信息，自检信息结束语后，按回车键进入系统，显示命令提示符，可输入命令。第四，键入命令，查看交换机运行状态及相关参数的配置情况。在操作过程中，如果遇到疑问和不会的操作时，可以输入问号查询，输入具体命令时，可以参考配置手册完成输入。

2）创建DHCP及设置相关参数。首先，对Vlan在三层交换机上进行设置。其次，设置完成以后，将三层交换机中的DHCP代理功能开启。第三，对Vlan指定相关DHCP服务器。第四，默认端口正确配置。第五，将静态路由在H3C U200-C路由器上正确进行配置。

2.4.2 配置动态IP地址作用域

服务器为微软最新视窗操作系统，与以前版本对比该服务器的其稳定性更可靠。通过操作系统的加强可以实现Windows 2008 Server的保护网络环境的安全性功能，对IT系统在加快部署与维护的时候，利用现有应用程度或虚拟化的服务器会使操作变得更加简单，能够将管理工具直接给出，由此可见，Windows 2008 Server能够提供能加方便、快捷、灵活的操作方法，方便IT人员操作，也使实验室计算机服务器建设与网络基础的构建效率更高。对动态IP地址作用域进行配置的时候，遵循以下步骤：首先，在服务器系统中打开服务器管理界面，查找DHCP服务器内的四个网络，建立四个Vlan的IP地址段的动态地址作用域。其次，为了方便记忆和分类，新建作用域用各自Vlan名称命名。第三，根据实际情况设定动态IP地址的范围，同时也可以对排除地址范围进行设置。第四，默认IP地址租期为8天。第五，针对不同的Vlan设置不同的IP地址。第六，在同一台服务器上安装DHCP服务于DNS服务，因此DNC IP地址设置为与Vlan接口IP地址相同的父域名。最后，将作用域激活， DHCP服务功能即可启动。

2.5 实验结果

在不同Vlan计算机上运行IP地址获取命令，看能否得到IP地址，并运行ping命令，查看四个Vlan计算机是否已经连通，如果可以连通，则表明实验成果。启动DHCP服务，能够看到四个Vlan动态IP地址分配作用域均开启，而连接在Vlan中的多台客户端计算机均获取到对应的IP地址。

3 实验室网络DHCP安全防护策略

3.1 重复分配IP地址造成冲突故障

实验室局域网中经常出现的一类故障就是IP地址冲突问题，造成客户端没有办法获取IP地址。很多时候，此类故障被认为是ARP病毒引起，但实质上DHCP问题也会造成这类故障出现。为了对IP地址冲突的问题进行预防，服务器在分配IP地址以前，对IP地址要先进行探测，通过ping功能实现，通过检测可以将指定时间段内可能出现冲突的IP地址检测出来。DHCP服务器通过发送目的地址为需要分配的IP地址回显请求报文，如果客户端收到报文，则需要重新选择新的IP地址进行再次检测，直到指定时间内无法收到回显报文，则可确认该IP地址时唯一的。

3.2 DOS攻击造成IP地址资源耗尽

此类问题可以理解为人为破坏，如果有人恶意通过病毒软件对计算机的MAC地址不断进行修改，并想DHCP服务器发送请求IP地址报文，那么服务器中的IP地址很快就会耗尽，造成其他用户无法获取IP地址，无法进行网络通信，这就是DOS攻击。为防止DOS攻击，可通过DHCP SNOOPING绑定表来解决，客户端发送报文时，绑定表对其中的各项内容会进行检查，报文内容与绑定表数据库内容匹配，则可通过，反之则丢弃，这样能够防止人为修改客户端MAC地址和IP地址，保证IP地址资源不被人为破坏。

4 结束语

在实验室局域网中通过DHCP服务对IP地址进行分配，实现复杂网络环境下的DHCP配置及安全问题。本文主要针对DHCP服务在复杂网络环境下的构建进行分析，并对DHCP服务应用中存在的安全问题进行分析，提出相关解决措施，保证了实验室网络管理的有效性。

参考文献：

[1] 谭毓银， 王隆娟. 基于VMware虚拟网络技术的DHCP服务器实验设计[J]. 电子设计工程， 2013（22）： 20-22.

[2] 张心健， 李子平， 尹鹏帅. 基于DHCP协议的网络准入控制系统研究与实现[J]. 信息网络安全， 2012（9）： 65-69.